As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Segurança de endpoint multimodelo Os modelos e os dados em um endpoint multimodelo são colocalizados no volume de armazenamento da instância e na memória do contêiner. Todas as instâncias dos endpoints Amazon SageMaker AI são executadas em um único contêiner de locatário que você possui. Somente os seus modelos podem ser executados no seu endpoint multimodelo. É sua responsabilidade gerenciar o mapeamento das solicitações para os modelos e fornecer acesso aos usuários aos modelos de destino corretos. SageMaker A IA usa [funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) para fornecer políticas baseadas em identidade do IAM que você usa para especificar ações e recursos permitidos ou negados e as condições sob as quais as ações são permitidas ou negadas. Por padrão, uma entidade do IAM com permissões [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_InvokeEndpoint.html) em um endpoint multimodelo pode invocar qualquer modelo no endereço do prefixo S3 definido na operação [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), desde que a função de execução do IAM definida na operação tenha permissões para fazer download do modelo. Se você precisar restringir o acesso do [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_InvokeEndpoint.html) a um conjunto limitado de modelos no S3, execute um dos seguintes procedimentos: + Restringir as chamadas `InvokeEndpont` a modelos específicos hospedados no endpoint usando a chave de condição do IAM `sagemaker:TargetModel`. Por exemplo, a política a seguir permite solicitações `InvokeEndpont` somente quando o valor do campo `TargetModel` corresponde a uma das expressões regulares especificadas: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "sagemaker:InvokeEndpoint" ], "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-east-1:111122223333:endpoint/endpoint_name", "Condition": { "StringLike": { "sagemaker:TargetModel": ["company_a/*", "common/*"] } } } ] } ``` ------ Para obter informações sobre chaves de condição de SageMaker IA, consulte [Chaves de condição para Amazon SageMaker AI](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsagemaker.html#amazonsagemaker-policy-keys) no *Guia AWS Identity and Access Management do usuário*. + Crie endpoints multimodelo com prefixos do S3 mais restritivos. Para obter mais informações sobre como a SageMaker IA usa funções para gerenciar o acesso aos endpoints e realizar operações em seu nome, consulte[Como usar funções de execução de SageMaker IA](sagemaker-roles.md). Seus clientes também podem ter determinados requisitos de isolamento de dados ditados por suas próprias exigências de conformidade, que podem ser atendidos usando identidades do IAM.